På di.dk anvender vi cookies til en række forskellige formål i forbindelse med funktion, webanalyse og marketing. Klikker du videre på sitet, accepterer du, at der sættes cookies til disse formål. Du kan læse mere om cookies og fravælge brugen af dem på denne side.

Persondata

Databeskyttelsesforordningen og den kommende databeskyttelseslov fastsætter regler for, hvornår og hvordan virksomheder må behandle oplysninger om personer. DI kan rådgive om persondata, hvis det er nært knyttet til ansættelsesretten.

Persondataloven gælder frem til 25. maj 2018. Efter denne dato gælder EU´s databeskyttelsesforordning, som bygger på de mange af de samme principper, som findes i den gældende persondatalov. Databeskyttelsesforordningen vil blive suppleret af dansk lovgivning i form af databeskyttelsesloven.

Fælles for disse regelsæt er, at de finder anvendelse, når en virksomhed elektronisk eller manuelt behandler oplysninger om en person. E-mails, it-baseret sagsbehandling, cloudbaserede systemer og SMS’er er blot nogle få eksempler på elektronisk behandling. Der er tale om manuel behandling, når oplysningerne indgår i et register (for eksempel kartotekskasser, fortegnelser og ringbind).

”Personoplysninger” dækker over mange forskellige typer oplysninger, for eksempel:

  • navn
  • alder
  • adresse
  • CPR-nr.
  • sygdomsperioder
  • medlemskab af en fagforening
  • data fra GPS overvågning.

Begrebet ”behandling” omfatter stort set alt, som man kan udsætte personoplysninger for, herunder indsamling, registrering, opbevaring, videregivelse og sletning.

Angivne og saglige formål

Ifølge både den gældende og kommende lovgivning om personoplysninger, skal enhver indsamling og behandling af personoplysninger opfylde en række generelle krav. Eksempelvis må indsamling af personoplysninger kun ske til udtrykkeligt angivne og saglige formål, og en senere brug af oplysningerne må ikke være uforenelig med disse formål.

Hjemmel

Derudover skal den enkelte behandling have et grundlag (hjemmel) i lovgivningen. Eksempelvis giver loven mulighed for, at en virksomhed kan behandle en række almindelige oplysninger om sine egne medarbejdere for at opfylde sine forpligtelser i henhold til ansættelseskontrakten (f.eks. behandle oplysninger om medarbejderen ved udbetaling af løn).

I andre tilfælde kan en virksomhed behandle oplysninger om sine medarbejdere, hvis virksomhedens interesse i at behandle oplysningerne overstiger hensynet til medarbejderne (interesseafvejning).

Personoplysninger kan også behandles på baggrund af et klart samtykke fra den enkelte medarbejder.

Almindelige og særlige oplysninger

Med den nye databeskyttelsesforordning vil der overordnet blive tale om to kategorier af personoplysninger: Almindelige oplysninger så som navn, adresse, telefonnummer mv. og særlige oplysninger, så som racemæssig baggrund, fagforeningsmæssigt tilhørsforhold, helbredsmæssige oplysninger mv.

Oplysninger om strafbare forhold samt personnumre vil blive reguleret særskilt med databeskyttelsesforordningen og den kommende databeskyttelseslov.

Generelt skal der mere til for lovligt at kunne behandle særlige oplysninger end ved behandling af almindelige oplysninger.

Risiko for store bøder

Reglerne om personoplysninger er mange, komplicerede og omfattende. Med den kommende forordning bliver bøderne for overtrædelse af reglerne skærpet betydeligt. I fremtiden vil de værste overtrædelser kunne udløse bøder på op til 20.000.000 euros eller 4 pct. af virksomhedens globale omsætning.

Derfor anbefaler DI, at virksomheder søger rådgivning hos juridiske og tekniske specialister.

DI’s rådgivning

DI’s personalejuridiske enheder rådgiver alene sine medlemsvirksomheder om personoplysninger, hvis henvendelsen er nært forbundet med ansættelsesretlige emner.

Det kan som eksempel være i forbindelse med rekruttering af nye medarbejdere. Det kan også være i forbindelse med brug af kontrolforanstaltninger (for eksempel videoovervågning, GPS, kontrol af it samt alkohol- og narkotikatest), hvor der som udgangspunkt vil ske indsamling og behandling af oplysninger om de enkelte medarbejdere.

DI rådgiver ikke om håndtering af personoplysninger, når det f.eks. drejer sig om generelle privatlivspolitikker, krav om databeskyttelsesrådgivere (DPO’ere) og dokumentationskrav samt generelle samarbejdskontrakter, databehandleraftaler og andre ”business to business”-forhold.

Datatilsynet er den relevante myndighed

Datatilsynet fører tilsyn med overholdelse af persondataloven og vil efter 25. maj 2018 også føre tilsyn med overholdelse af databeskyttelsesforordningen.

Du kan læse mere om behandling af personoplysninger på Datatilsynets hjemmeside.

Har din virksomhed styr på den nye databeskyttelsesforordning?

I maj 2018 trådte ny lovgivning om håndtering af persondata i kraft, og den kan medføre bøder i millionklassen og have store konsekvenser for danske virksomheder.

Derfor har DI udviklet forskellige værktøjer og konkrete skabeloner til hjælp for vores medlemmer.

De kan frit benyttes og downloades, hvis man er logget ind som medlem.

PUBLICERET: 09-03-2009 OPDATERET: 10-07-2018